En el ajedrez, se colocan dos filas de piezas a cada lado del tablero. Estas filas constan de ocho peones como primera línea de defensa contra el enemigo. El resto de las piezas situadas detrás de ellas pueden moverse con eficacia, dependiendo de cómo dirijas tus instrumentos. Pero, ¿y si no siempre pudieras dictar cómo se mueven tus medios? ¿Y si el enemigo pudiera influir en cómo se comportan tus peones? Parece una victoria fácil para tu adversario, ¿verdad? Eso ocurre con el phishing basado en el correo electrónico y las estafas de ingeniería social, como los ataques de compromiso del correo electrónico empresarial. Sólo hay una forma de resolver este problema: la formación en materia de seguridad.

Los empleados están listos para ser explotados por los malos actores

En el actual panorama empresarial digital, la mayor amenaza para una organización viene de dentro. Si bien los empleados malintencionados son una amenaza real, los actores involuntarios -peones o pifias- causan más del 65% de los incidentes internos notificados al interactuar con un mensaje de phishing. Este blog profundiza en la innegable necesidad de una formación exhaustiva sobre concienciación en materia de seguridad y en su papel a la hora de capacitar a la dirección y a los empleados de una empresa para mejorar su resistencia frente al panorama actual de ciberamenazas, en constante evolución.

Los tres principales correos electrónicos de simulación de phishing que consiguieron atraer clics:

1. Office 365: “Inicio de sesión sospechoso”, con 10.879 clics.
2. FedEx: “Entrega de paquete”, con 6.535 clics.
3. Google Docs: “Invitación a editar”, con 4.492 clics.

Las tres principales campañas de simulación de phishing que capturaron credenciales y datos:

1. FedEx: “Entrega de paquetes” con 2.056 capturas.
2. Office 365: “Inicio de sesión sospechoso” con 1736 capturas.
3. COVID-19: “SharePoint Webinar” con 1440 capturas.

• Los empleados despistados crean incidentes de seguridad

Los ciberdelincuentes se han vuelto más expertos en la creación de correos electrónicos y estafas sofisticados y convincentes que apenas pueden distinguirse de correos electrónicos o SMS auténticos de una fuente de confianza. En los últimos cinco años, empresas de todo el mundo han perdido más de 43.000 millones de dólares debido a ataques BEC.

Por si esta estadística no fuera suficientemente aterradora, Microsoft descubrió que por cada 1.000 buzones de correo, los malos actores realizaban una media de 104 ataques BEC semanales. Es decir, unos 40 ataques cada día laborable. Estas cifras se basan en empresas medianas con más de 1.500 empleados. Se puede afirmar que cuanto mayor sea la organización, mayor será el número de intentos de ataque.

Pero ése no es el mayor problema. El principal reto para el equipo de seguridad informática de una organización gira en torno a que los empleados no informan de los incidentes de seguridad, una tendencia cada vez más extendida. Los empleados no están preparados para gestionar adecuadamente las ciberamenazas basadas en el correo electrónico, lo que aumenta las posibilidades de que se produzca una violación de datos. La formación soluciona este problema.

• Cinco tendencias aterradoras en el comportamiento de los empleados

He aquí cinco tendencias en el comportamiento de los empleados que proliferan actualmente en todos los sectores, especialmente en el del transporte, la automoción y la sanidad, y que pueden conducir a un ciberataque:

1. Los empleados informan a su equipo de seguridad de alrededor del 2% de todos los ataques conocidos.
2. Los empleados suelen decir que el correo gris (que no debe confundirse con el spam) es phishing, con lo que hacen perder el tiempo a los profesionales de la seguridad.
3. Los empleados asumen que un compañero puede haber informado de correos sospechosos como phishing en lugar de poner de su parte para minimizar el riesgo.
4. Los empleados no se dan cuenta de que pueden ser el único objetivo de un ataque y dejan que sea otro quien dé la voz de alarma.
5. Los empleados reutilizan las contraseñas en los dispositivos y redes de la empresa como lo harían en sus dispositivos personales, que no están tan bien protegidos. Esto crea un vector de entrada para los malos actores.

La mayoría de estos problemas no requieren la implantación de un nuevo software de seguridad ni una revisión masiva de las políticas de seguridad de la empresa. Un programa de formación en seguridad sencillo pero eficaz educará a los empleados en las mejores prácticas de ciberseguridad y los preparará para enfrentarse incluso a las tácticas de infiltración más innovadoras que pueda utilizar un ciberdelincuente.

La formación de concienciación sobre seguridad, aunque ofrece una increíble capa de protección contra los malos actores, conlleva sus retos. Llevar a cabo una formación sobre ciberseguridad en toda la empresa -una faceta de la tecnología que evoluciona en un abrir y cerrar de ojos- supone una gran carga para los profesionales encargados de realizar este trabajo.

Actualizar los contenidos para adaptarlos a las últimas tendencias, motivar e implicar a los empleados para que completen la formación y mejorar la retención de conocimientos son los mayores retos a los que se enfrentan las empresas a la hora de llevar a cabo una formación de concienciación sobre seguridad.

Fuente: ID Agent